2021 화이트햇 콘테스트 본선에 나왔던 문제
시간이 꽤 지났지만 하나씩 문제풀이를 올려본다.
CTFD 플랫폼을 이용해 진행이 되었는데,
문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다.
본선의 시작은 S2_VPN_Viction.vmx 파일로 진행된다.
해당 파일은 침해사고가 발생한 리눅스 시스템을 이미징한 것이다.
제목에서 알 수 있듯이 이 이미지는 서버 앞단에 있는 VPN 이미지이다.
B-2 문제는 지난 B-1 문제에서 이어지는 문제이다.
(https://hackingstudypad.tistory.com/614)
B-2
공격자가 VPN 서버에 침투한 이후 권한 상승을 통해 방화벽을 무력화 한 시각과 사용된 명령은 무엇인가?
B-2 문제는
공격자가 VPN 서버에 침투해서
권한 상승을 하고, 방화벽을 무력화한 시각
그리고 그때 사용한 명령어를 찾는것이 목표이다.
이 문제 역시도
이전 문제들처럼
/var/log 경로에서 답을 찾을 수 있다.
이전 B-1 문제와 같은 auth.log 에서 확인할 수 있다.
방화벽을 무력화한 시각이기 때문에
리눅스에 기본적으로 있는 방화벽 기능이다.
권한 상승을 통해 방화벽을 무력화 했다고 했으니,
sudo 명령어를 같이 썼을 것이고
그 결과로 auth.log 에 해당 로그가 남았을 것이다.
그래서 iptables 를 키워드로 auth.log 를 찾아보면
root 가 /sbin/iptables -F 명령어 수행한 결과를 확인할 수 있다.
-F 옵션은 Flush 의 약자로
방화벽의 모든 규칙을 삭제하는 옵션이다.
방화벽이 무력화 된 것이라고 볼 수 있을 것이다.
이번 문제는 명령어 사용 기록을 로깅하는
history 명령어로도 확인할 수 있다.
이번 문제의 플래그는
FLAG{2021_10_05_09_29_48_/sbin/iptables -F} 가 된다.
'CTF > 포렌식' 카테고리의 다른 글
| [2021 화이트햇 콘테스트 본선] D-1 - 포렌식 / Wireshark (157) | 2023.09.06 |
|---|---|
| [2021 화이트햇 콘테스트 본선] C-1 - 포렌식 / .bashrc (149) | 2023.09.04 |
| [2021 화이트햇 콘테스트 본선] B-1 - 포렌식 / SSH (126) | 2023.08.31 |
| [2021 화이트햇 콘테스트 본선] A-2 - 포렌식 / PPTP / SYSLOG (160) | 2023.08.29 |
| [2021 화이트햇 콘테스트 본선] A-1 - 포렌식 (149) | 2023.08.27 |